現在人們總會遇到這樣地情況���,某天打開自己mail中的一個附件,因為那個mail的地址和自己一個同事的地址很像����,因此沒有多考慮就將附件下載打開了。不想這個附件是個病毒,它讓自己的機器變的很慢,殺毒之后也沒有太大作用��。
其實��,病毒���、木馬��、和一些惡意軟件,往往都會對Widnows的注冊表下毒手�,雖然破壞形式不盡相同�,但是經過分析它們的破壞手法并非無規律可循��。這里列出了一些用戶系統中被易被修改的系統設置和注冊表項�。建議再換用其他木馬專殺工具試一下���,并再針對以下注冊表鍵值進行檢查���,看看是否有被改動過的跡象��。
系統設置文件
對于Widnows 9X系統����,常見的是病毒修改可能會更改autoexec.bat����,只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒。*更改drive:/windows/win.ini或者system.ini文件���。病毒通常會在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改��。
注冊表鍵值
目前���,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統注冊表的動作�。它們修改的位置一般有以下幾個地方:
在系統啟動時自動執行的程序
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce/
在系統啟動時自動執行的系統服務程序
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/
在系統啟動時自動執行的程序,這是病毒最有可能修改/添加的地方
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/ HKEY_CLASSES_ROOT/exefile/shell/open/command
說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行�,以此類推��,../txtfile/.. 或者 ../comfile/.. 也可被更改���,以便實現病毒自動運行的功能。
另外��,有些健值還可能被利用來實現比較特別的功能:
有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableRegistryTools =
為了阻止用戶利用.REG文件修改注冊表鍵值����,以下鍵值也會被修改來顯示一個內存訪問錯誤窗口。
例如:Win32.Swen.B 病毒 會將缺省健值修改為:
HKCR/regfile/shell/open/command/(Default) = "cxsgrhcl.exe showerror"
通過對以上地方的修改�,病毒程序主要達到的目的是在系統啟動或者程序運行過程中能夠自動被執行�,已達到自動激活的目的����。
